IPSec を使用して特定のネットワーク プロトコルとポートをブロックする方法

文書翻訳 文書翻訳
文書番号: 813878 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

IPSec (Internet Protocol Security) のフィルタ ルールを使用すると、ウイルス、ワームなどによるネットワーク経由の攻撃の危険から Windows 2000 ベース、Windows XP ベースおよび Windows Server 2003 ベースのコンピュータを保護することができます。この資料では、受信方向と送信方向の両方のネットワーク トラフィックに対して、特定のプロトコルとポートの組み合わせにフィルタを適用する方法について説明します。ここでは、Windows 2000 ベース、Windows XP ベースおよび Windows Server 2003 ベースのコンピュータに現在 IPSec ポリシーが割り当てられているかどうかを確認する手順、新しい IPSec ポリシーの作成および割り当てを行う手順、IPSec ポリシーの割り当て解除および削除を行う手順を紹介します。

詳細

IPSec ポリシーは、ローカルに対して適用することも、ドメインのグループ ポリシーの一部としてドメインのメンバに適用することもできます。ローカルの IPSec ポリシーは、"静的" (再起動後も保持されます) または "動的" に設定できます。静的な IPSec ポリシーは、ローカル レジストリに書き込まれ、オペレーティング システムが再起動された後も保持されます。動的な IPSec ポリシーは、レジストリに恒久的には書き込まれず、オペレーティング システムまたは IPSec ポリシー エージェント サービスが再起動されると削除されます。

重要 : この資料には、Ipsecpol.exe を使用したレジストリの編集に関する情報が含まれています。レジストリを編集する前に、問題が発生した場合に備えて、レジストリの復元方法を理解しておいてください。レジストリのバックアップ、復元、および編集方法の詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
: IPSec フィルタ ルールを使用すると、ネットワーク プログラムがユーザーの認証に失敗するなど、データの損失や、ネットワーク要求に対する応答の停止が発生する可能性があります。IPSec フィルタ ルールは、使用中の環境で特定のポートをブロックすることによる影響を明確に把握したうえで、防御の最終手段として使用してください。この資料の手順を使用して作成した IPSec ポリシーによって、使用中のネットワーク プログラムに予期しない影響が出た場合、ポリシーを直ちに無効にして削除する手順については、この資料の「IPSec ポリシーの割り当て解除および削除を行う」を参照してください。

IPSec ポリシーが割り当てられているかどうかを確認する

Windows Server 2003 ベースのコンピュータ

Windows Server 2003 ベースのコンピュータで新しい IPSec ポリシーの作成または割り当てを行う前に、次の手順に従って、ローカル レジストリまたはグループ ポリシー オブジェクト (GPO) から既に適用されている IPSec ポリシーがあるかどうかを確認します。
  1. Windows Server 2003 の CD の Support\Tools フォルダから Suptools.msi を実行して、Netdiag.exe をインストールします。
  2. コマンド プロンプトを開き、作業フォルダを C:\Program Files\Support Tools に設定します。
  3. 次のコマンドを実行して、既存の IPSec ポリシーがコンピュータに割り当てられていないことを確認します。
    netdiag /test:ipsec
    ポリシーが何も割り当てられていない場合、次のメッセージが出力されます。
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Windows XP ベースのコンピュータ

Windows XP ベースのコンピュータで新しい IPSec ポリシーの作成または割り当てを行う前に、次の手順に従って、ローカル レジストリまたは GPO から既に適用されている IPSec ポリシーがあるかどうかを確認します。
  1. Windows XP の CD の Support\Tools フォルダから Setup.exe を実行して、Netdiag.exe をインストールします。
  2. コマンド プロンプトを開き、作業フォルダを C:\Program Files\Support Tools に設定します。
  3. 次のコマンドを実行して、既存の IPSec ポリシーがコンピュータに割り当てられていないことを確認します。
    netdiag /test:ipsec
    ポリシーが何も割り当てられていない場合、次のメッセージが出力されます。
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Windows 2000 ベースのコンピュータ

Windows 2000 ベースのコンピュータで新しい IPSec ポリシーの作成または割り当てを行う前に、次の手順に従って、ローカル レジストリまたは GPO から既に適用されている IPSec ポリシーがあるかどうかを確認します。
  1. Windows 2000 の CD の Support\Tools フォルダから Setup.exe を実行して、Netdiag.exe をインストールします。
  2. コマンド プロンプトを開き、作業フォルダを C:\Program Files\Support Tools に設定します。
  3. 次のコマンドを実行して、既存の IPSec ポリシーがコンピュータに割り当てられていないことを確認します。
    netdiag /test:ipsec
    ポリシーが何も割り当てられていない場合、次のメッセージが出力されます。
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

トラフィックをブロックするための静的なポリシーを作成する

Windows Server 2003 ベースおよび Windows XP ベースのコンピュータ

有効な IPSec ポリシーがローカルに定義されていないシステムの場合、以下の手順に従って新しいローカルの静的なポリシーを作成し、既存の IPSec ポリシーが割り当てられていない Windows Server 2003 ベースおよび Windows XP ベースのコンピュータで、特定のプロトコルとポート宛てのトラフィックをブロックします。
  1. サービス MMC スナップインで、IPSec ポリシー エージェント サービスが有効で、開始されていることを確認します。
  2. IPSeccmd.exe をインストールします。IPSeccmd.exe は Windows XP Service Pack 2 (SP2) サポート ツールに含まれています。

    : IPSeccmd.exe は Windows XP および Windows Server 2003 で動作しますが、Windows XP SP2 サポート ツール パッケージからのみ入手できます。

    Windows XP Service Pack 2 サポート ツールのダウンロードとインストールの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    838079 Windows XP Service Pack 2 サポート ツール
  3. コマンド プロンプトを開き、Windows XP Service Pack 2 サポート ツールをインストールしたフォルダを作業フォルダに設定します。

    : Windows XP SP2 サポート ツールのデフォルトのフォルダは、C:\Program Files\Support Tools です。
  4. 構成している Windows Server 2003 ベースおよび Windows XP ベースのコンピュータの IP アドレスを宛先とするすべての IP アドレスからのネットワーク トラフィックに適用するローカルの IPSec ポリシーおよびフィルタ ルールを新しく作成するには、次のコマンドを使用します。

    : 次のコマンドで、Protocol はプロトコル、PortNumber はポート番号を示す変数です。
    IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK ?x
    たとえば、Windows Server 2003 ベースまたは Windows XP ベースのコンピュータの UDP ポート 1434 を宛先とするすべての IP アドレスと発信元ポートからのネットワーク トラフィックをブロックするには、次のように入力します。このポリシーは、Microsoft SQL Server 2000 を実行するコンピュータを "Slammer" ワームから保護するのに役立てることができます。
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    次の例では、TCP ポート 80 への受信アクセスをブロックし、TCP ポート 80 からの送信アクセスを許可します。このポリシーは、Microsoft インターネット インフォメーション サービス (IIS) 5.0 を実行するコンピュータを "Code Red" ワームおよび "Nimda" ワームから保護するのに役立てることができます。
    IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    : -x スイッチを指定すると、ポリシーがすぐに割り当てられます。このコマンドを入力すると、"Block UDP 1434 Filter" ポリシーの割り当てが解除され、"Block TCP 80 Filter" が割り当てられます。既存のポリシーの割り当てを解除せずにポリシーを追加する場合は、コマンドの末尾の -x スイッチを省略します。
  5. 既存の "Block UDP 1434 Filter" ポリシーに別のフィルタ ルールを追加して、Windows Server 2003 ベースまたは Windows XP ベースのコンピュータから任意の IP アドレス宛てに送信されるネットワーク トラフィックをブロックするには、次の構文を使用します。

    : 次のコマンドで、Protocol はプロトコル、PortNumber はポート番号を示す変数です。
    IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
    たとえば、Windows Server 2003 ベースまたは Windows XP ベースのコンピュータから他のホストの UDP ポート 1434 へのネットワーク トラフィックをブロックするには、次のように入力します。このポリシーは、SQL Server 2000 を実行するコンピュータによる "Slammer" ワームの拡散防止に役立てることができます。
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    : このコマンドを使用することにより、フィルタ ルールを必要な数だけ追加できます。たとえば、このコマンドを使用すると、同じポリシーで複数のポートをブロックできます。
  6. この時点で、手順 5. のポリシーが有効になります。このポリシーは、コンピュータの再起動後も保持されます。ただし、その後、ドメイン ベースの IPSec ポリシーがコンピュータに割り当てられた場合、このローカル ポリシーは上書きされ、適用されなくなります。

    作成したフィルタ ルールが正しく割り当てられていることを確認するには、コマンド プロンプトで作業フォルダを C:\Program Files\Support Tools に設定し、次のコマンドを入力します。
    netdiag /test:ipsec /debug
    上記の例のように、受信トラフィックと送信トラフィックの両方に関するポリシーが割り当てられている場合、次のメッセージが出力されます。
    IP Security test . . . . . . . . . :
    Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters
    No Name
    Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
    Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Inbound Block
    No Name
    Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
    Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Outbound Block
    : IP アドレスおよびグローバル一意識別子 (GUID) は、使用している Windows Server 2003 ベースまたは Windows XP ベースのコンピュータによって異なります。

Windows 2000 ベースのコンピュータ

有効な IPSec ポリシーがローカルに定義されていないシステムの場合、以下の手順に従って新しいローカルの静的なポリシーを作成することにより、既存の IPSec ポリシーが割り当てられていない Windows 2000 ベースのコンピュータで、特定のプロトコルとポート宛てのトラフィックをブロックします。
  1. サービス MMC スナップインで、IPSec ポリシー エージェント サービスが有効で、開始されていることを確認します。
  2. 次のマイクロソフト Web サイトにアクセスし、Ipsecpol.exe をダウンロードしてインストールします。
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  3. コマンド プロンプトを開き、作業フォルダを Ipsecpol.exe がインストールされているフォルダに設定します。

    : Ipsecpol.exe のデフォルトのフォルダは、C:\Program Files\Resource Kit です。
  4. 構成している Windows 2000 ベースのコンピュータの IP アドレスを宛先とするすべてのアドレスからのネットワーク トラフィックに適用するローカルの IPSec ポリシーおよびフィルタ ルールを新しく作成するには、次のコマンドを使用します。Protocol はプロトコル、PortNumber はポート番号を示す変数です。
    ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK ?x
    たとえば、Windows 2000 ベースのコンピュータの UDP ポート 1434 を宛先とするすべての IP アドレスと発信元ポートからのネットワーク トラフィックをブロックするには、次のように入力します。このポリシーは、Microsoft SQL Server 2000 を実行するコンピュータを "Slammer" ワームから保護するのに役立てることができます。
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    次の例では、TCP ポート 80 への受信アクセスをブロックし、TCP ポート 80 からの送信アクセスを許可します。このポリシーは、Microsoft インターネット インフォメーション サービス (IIS) 5.0 を実行するコンピュータを "Code Red" ワームおよび "Nimda" ワームから保護するのに役立てることができます。
    ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    : -x スイッチを指定すると、ポリシーがすぐに割り当てられます。このコマンドを入力すると、"Block UDP 1434 Filter" ポリシーの割り当てが解除され、"Block TCP 80 Filter" が割り当てられます。既存のポリシーの割り当てを解除せずにポリシーを追加する場合は、コマンドの末尾の -x スイッチを省略します。
  5. 既存の "Block UDP 1434 Filter" ポリシーに別のフィルタ ルールを追加して、Windows 2000 ベースのコンピュータから任意の IP アドレス宛てに送信されるネットワーク トラフィックをブロックするには、次のコマンドを使用します。Protocol はプロトコル、PortNumber はポート番号を示す変数です。
    ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
    たとえば、Windows 2000 ベースのコンピュータから他のホストの UDP ポート 1434 へのネットワーク トラフィックをブロックするには、次のように入力します。このポリシーは、SQL Server 2000 を実行するコンピュータによる "Slammer" ワームの拡散防止に役立てることができます。
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    : このコマンドを使用することにより、フィルタ ルールを必要な数だけ追加できます (同じポリシーで複数のポートをブロックする場合など)。
  6. この時点で、手順 5. のポリシーが有効になります。このポリシーは、コンピュータが再起動されても保持されます。ただし、その後、ドメイン ベースの IPSec ポリシーがコンピュータに割り当てられた場合、このローカル ポリシーは上書きされ、適用されなくなります。作成したフィルタ ルールが正しく割り当てられていることを確認するには、コマンド プロンプトで作業フォルダを C:\Program Files\Support Tools に設定して、次のコマンドを入力します。
    netdiag /test:ipsec /debug
    上記の例のように、受信トラフィックと送信トラフィックの両方に関するポリシーが割り当てられている場合、次のメッセージが出力されます。
    IP Security test . . . . . . . . . :
    Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters
    No Name
    Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
    Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Inbound Block
    No Name
    Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
    Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Outbound Block
    : IP アドレスおよびグローバル一意識別子 (GUID) はコンピュータによって異なります。これらは、使用している Windows 2000 ベースのコンピュータのものが出力されます。

特定のプロトコルおよびポートのブロック ルールを追加する

Windows Server 2003 ベースおよび Windows XP ベースのコンピュータ

静的な IPSec ポリシーがローカルで既に割り当てられている Windows Server 2003 ベースおよび Windows XP ベースのコンピュータに対して、特定のプロトコルおよびポートのブロック ルールを追加するには、次の手順を実行します。
  1. IPSeccmd.exe をインストールします。IPSeccmd.exe は Windows XP SP2 サポート ツールに含まれています。

    Windows XP Service Pack 2 サポート ツールのダウンロードとインストールの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    838079 Windows XP Service Pack 2 サポート ツール
  2. 現在割り当てられている IPSec ポリシーの名前を特定します。これを行うには、コマンド プロンプトで次のコマンドを入力します。
    netdiag /test:ipsec
    ポリシーが割り当てられている場合、次のようなメッセージが表示されます。
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active: 'Block UDP 1434 Filter'
  3. ローカルまたはドメインで IPSec ポリシーが既にコンピュータに割り当てられている場合、次のコマンドを使用してブロック フィルタ ルールを既存の IPSec ポリシーに追加します。

    : 次のコマンドで、Existing_IPSec_Policy_Name は既存の IPSec ポリシーの名前、Protocol はプロトコル、PortNumber はポート番号を示す変数です。
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK
    たとえば、既存の "Block UDP 1434 Filter" に、TCP ポート 80 への受信アクセスをブロックするフィルタ ルールを追加するには、次のコマンドを入力します。
    IPSeccmd.exe -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Windows 2000 ベースのコンピュータ

静的な IPSec ポリシーがローカルで既に割り当てられている Windows 2000 ベースのコンピュータに対して、特定のプロトコルおよびポートのブロック ルールを追加するには、次の手順を実行します。
  1. 次のマイクロソフト Web サイトにアクセスし、Ipsecpol.exe をダウンロードしてインストールします。
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  2. 現在割り当てられている IPSec ポリシーの名前を特定します。これを行うには、コマンド プロンプトで次のコマンドを入力します。
    netdiag /test:ipsec
    ポリシーが割り当てられている場合、次のようなメッセージが表示されます。
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active: 'Block UDP 1434 Filter'
  3. ローカルまたはドメインで IPSec ポリシーが既にコンピュータに割り当てられている場合、次の構文を使用してブロック フィルタ ルールを既存の IPSec ポリシーに追加します。Existing_IPSec_Policy_Name は既存の IPSec ポリシーの名前、Protocol はプロトコル、PortNumber はポート番号を示す変数です。
    ipsecpol -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK
    たとえば、既存の "Block UDP 1434 Filter" に、TCP ポート 80 への受信アクセスをブロックするフィルタ ルールを追加するには、次のコマンドを入力します。
    ipsecpol -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

特定のプロトコルおよびポートの動的なブロック ポリシーを追加する

Windows Server 2003 ベースおよび Windows XP ベースのコンピュータ

修正プログラムをインストールできるようになるまでの間や、ドメイン ベースの IPSec ポリシーが既にコンピュータに割り当てられている場合に、特定のポートを一時的にブロックすることができます。Windows Server 2003 ベースおよび Windows XP ベースのコンピュータで IPSec ポリシーを使用してポートへのアクセスを一時的にブロックするには、次の手順を実行します。
  1. IPSeccmd.exe をインストールします。IPSeccmd.exe は Windows XP Service Pack 2 サポート ツールに含まれています。

    : IPSeccmd.exe は Windows XP および Windows Server 2003 で動作しますが、Windows XP SP2 サポート ツール パッケージからのみ入手できます。

    Windows XP Service Pack 2 サポート ツールのダウンロードとインストールの方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    838079 Windows XP Service Pack 2 サポート ツール
  2. 使用しているシステムの IP アドレスおよび対象となるポートを宛先とする任意の IP アドレスからのパケットをすべてブロックする、動的なブロック フィルタを追加するには、コマンド プロンプトで次のコマンドを入力します。

    : 次のコマンドで、Protocol はプロトコル、PortNumber はポート番号を示す変数です。
    IPSeccmd.exe -f [*=0:PortNumber:Protocol]
    : このコマンドを実行するとブロック フィルタが動的に生成されます。このポリシーは IPSec ポリシー エージェント サービスが実行されている間は割り当てられたままになります。IPSec ポリシー エージェント サービスまたはコンピュータを再起動すると、このポリシーは失われます。システムが再起動されるたびに IPSec フィルタ ルールを動的に再度割り当てる場合は、起動スクリプトを作成して IPSec ポリシーを再度割り当てます。フィルタを常に適用する場合は、フィルタを静的な IPSec ポリシーとして構成します。IP セキュリティ ポリシーの管理 MMC スナップインでは、グラフィカル ユーザー インターフェイスを使用して IPSec ポリシーの構成を管理することができます。ドメイン ベースの IPSec ポリシーが既に適用されている場合、ドメイン管理者の資格情報を持つユーザーが netdiag /test:ipsec /debug コマンドを実行すると、フィルタの詳細しか表示されないことがあります。

Windows 2000 ベースのコンピュータ

修正プログラムをインストールできるようになるまでの間や、ドメイン ベースの IPSec ポリシーが既にコンピュータに割り当てられている場合に、特定のポートを一時的にブロックすることができます。Windows 2000 ベースのコンピュータで IPSec ポリシーを使用してポートへのアクセスを一時的にブロックするには、次の手順を実行します。
  1. 次のマイクロソフト Web サイトにアクセスし、Ipsecpol.exe をダウンロードしてインストールします。
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  2. 使用しているシステムの IP アドレスや対象となるポートを宛先とする任意の IP アドレスからのパケットをすべてブロックする、動的なブロック フィルタを追加するには、コマンド プロンプトで次のコマンドを入力します。Protocol はプロトコル、PortNumber はポート番号を示す変数です。
    ipsecpol -f [*=0:PortNumber:Protocol]
    : このコマンドを実行するとブロック フィルタが動的に生成されます。このポリシーは IPSec ポリシー エージェント サービスが実行されている間は割り当てられたままになります。IPSec サービスまたはコンピュータを再起動すると、これらの設定は失われます。システムが再起動されるたびに IPSec フィルタ ルールを動的に再度割り当てる場合は、起動スクリプトを作成して IPSec ポリシーを再度適用します。フィルタを常に適用する場合は、フィルタを静的な IPSec ポリシーとして構成します。IP セキュリティ ポリシーの管理 MMC スナップインでは、グラフィカル ユーザー インターフェイスを使用して IPSec ポリシーの構成を管理することができます。ドメイン ベースの IPSec ポリシーが既に適用されている場合は、ドメイン管理者の資格情報を持つユーザーが netdiag /test:ipsec /debug コマンドを実行すると、フィルタの詳細しか表示されないことがあります。Netdiag.exe の更新版は Windows 2000 Service Pack 4 で提供される予定です。これによりローカル管理者がドメイン ベースの IPSec ポリシーを表示することができます。

IPSec フィルタ ルールとグループ ポリシー

グループ ポリシーの設定を使用して IPSec ポリシーを割り当てた環境では、特定のプロトコルやポートをブロックするためにドメイン全体のポリシーを更新する必要があります。グループ ポリシーの IPSec 設定を正しく構成した後、ドメイン内のすべての Windows Server 2003 ベース、Windows XP ベースおよび Windows 2000 ベースのコンピュータでグループ ポリシーの設定を強制的に更新する必要があります。これを行うには、次のコマンドを実行します。
secedit /refreshpolicy machine_policy
IPSec ポリシーの変更は、2 種類のポーリング間隔のいずれかで検出されます。グループ ポリシー オブジェクト (GPO) に IPSec ポリシーを新しく割り当てる場合、グループ ポリシーのポーリング間隔として設定された時間内に、または secedit /refreshpolicy machine_policy コマンドがクライアント コンピュータで実行されたときに、この IPSec ポリシーがクライアントに適用されます。IPSec ポリシーが既に GPO に割り当てられており、新しい IPSec フィルタまたはルールを既存のポリシーに追加する場合、secedit コマンドを使用しても IPSec で変更が検出されません。このような状況では、既存の GPO ベースの IPSec ポリシーへの変更は、IPSec ポリシー自体のポーリング間隔の時間内に検出されます。このポーリング間隔は、IPSec ポリシーの [全般] タブで指定できます。IPSec ポリシー エージェント サービスを再起動することによって IPSec ポリシー設定を強制的に更新することもできます。IPSec サービスが停止または再起動されると、IPSec によりセキュリティで保護された通信は中断され、再開までに数秒かかります。これにより、プログラム間の接続、特に大量のデータを転送しているプログラムの接続が切断されることがあります。このように IPSec ポリシーがローカル コンピュータにのみ割り当てられている場合、サービスを再起動する必要はありません。

IPSec ポリシーの割り当て解除および削除を行う

Windows Server 2003 ベースおよび Windows XP ベースのコンピュータ

  • ローカルで定義された静的なポリシーが適用されているコンピュータの場合
    1. コマンド プロンプトを開き、作業フォルダを Ipsecpol.exe がインストールされているフォルダに設定します。
    2. 以前に作成したフィルタの割り当てを解除するには、次のコマンドを使用します。
      IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" ?y
      たとえば、以前に作成した "Block UDP 1434 Filter" の割り当てを解除するには、次のコマンドを使用します。
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -y
    3. 作成したフィルタを削除するには、次のコマンドを使用します。
      IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block ProtocolPortNumber Rule" ?o
      たとえば、以前に作成した "Block UDP 1434 Filter" フィルタおよび両方のルールを削除するには、次のコマンドを使用します。
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • ローカルで定義された動的なポリシーが適用されているコンピュータの場合
    net stop policyagent コマンドを使用して IPSec ポリシー エージェント サービスを停止すると、動的な IPSec ポリシーの割り当ては解除されます。IPSec ポリシー エージェント サービスを停止せずに、動的ポリシーをすべて削除するには、次の手順を実行します。
    1. コマンド プロンプトを開き、Windows XP Service Pack 2 サポート ツールをインストールしたフォルダを作業フォルダに設定します。
    2. 次のコマンドを入力します。
      IPSeccmd.exe -u
      : IPSec ポリシー エージェント サービスを再起動することによって、動的に割り当てられたポリシーをすべて解除することもできます。

Windows 2000 ベースのコンピュータ

  • ローカルで定義された静的なポリシーが適用されているコンピュータの場合
    1. コマンド プロンプトを開き、作業フォルダを Ipsecpol.exe がインストールされているフォルダに設定します。
    2. 以前に作成したフィルタの割り当てを解除するには、次のコマンドを使用します。
      ipsecpol -w REG -p "Block ProtocolPortNumber Filter" ?y
      たとえば、以前に作成した "Block UDP 1434 Filter" の割り当てを解除するには、次のコマンドを使用します。
      ipsecpol -w REG -p "Block UDP 1434 Filter" -y
    3. 作成したフィルタを削除するには、次のコマンドを使用します。
      ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block ProtocolPortNumber Rule" ?o
      たとえば、以前に作成した "Block UDP 1434 Filter" フィルタおよび両方のルールを削除するには、次のコマンドを使用します。
      ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • ローカルで定義された動的なポリシーが適用されているコンピュータの場合

    net stop policyagent コマンドを使用して IPSec ポリシー エージェント サービスを停止すると、動的な IPSec ポリシーの割り当ては解除されます。ただし、IPSec ポリシー エージェント サービスを停止せずに、動的ポリシーをすべて削除するには、次の手順を実行します。
    1. コマンド プロンプトを開き、作業フォルダを Ipsecpol.exe がインストールされているフォルダに設定します。
    2. 次のコマンドを入力します。
      Ipsecpol -u
      : IPSec ポリシー エージェント サービスを再起動することによって、動的に割り当てられたポリシーをすべて解除することもできます。

新しいフィルタ ルールをすべてのプロトコルとポートに適用する

Microsoft Windows 2000 および Microsoft Windows XP のデフォルトの設定では、ブロードキャスト、マルチキャスト、RSVP、IKE および Kerberos のトラフィックは IPSec のフィルタおよび認証によるすべての制限から除外されます。IPSec の制限から除外されるトラフィックの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
253169 IPSec によって保護されるトラフィックと保護されないトラフィック
IPSec がトラフィックの許可またはブロックのためにのみ使用されている場合は、レジストリ値を変更することによって、IPSec で保護されないプロトコルから Kerberos と RSVP を削除します。その詳細な手順を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
254728 ドメイン コントローラ間で Kerberos トラフィックが IPSec によってセキュリティ保護されない
これらの手順に従うことにより、攻撃者のコンピュータの送信元ポートが Kerberos ポート (TCP/UDP 88) に設定されている場合でも UDP 1434 を保護することができます。IPSec で保護されないプロトコルから Kerberos を削除することにより、Kerberos パケットが IPSec ポリシーのすべてのフィルタと照合されるようになります。これにより、Kerberos が IPSec による保護の対象となり、IPSec によりブロックまたは許可されます。このとき、ドメイン コントローラの IP アドレス宛てに送信される Kerberos トラフィックが IPSec フィルタと一致する場合は、IPSec ポリシーの設計を変更して、各ドメイン コントローラの IP アドレス宛ての Kerberos トラフィックを許可するフィルタを新しく追加する必要があります (「サポート技術情報」 (Microsoft Knowledge Base) の資料 254728 に記載されている方法で IPSec を使用してドメイン コントローラ間のすべてのトラフィックをセキュリティで保護していない場合)。

コンピュータの再起動時における IPSec フィルタ ルールの適用

すべての IPSec ポリシーの割り当ては、IPSec ポリシー エージェント サービスに依存しています。IPSec ポリシー エージェント サービスは、Windows 2000 ベースのコンピュータの起動中に最初に起動されるサービスとは限りません。このため、起動中のわずかな時間、コンピュータのネットワーク接続がウイルスやワームによる攻撃に対して脆弱になることがあります。この状況は、IPSec ポリシー エージェントが完全に開始され、すべてのポリシーが割り当てられる前に、脆弱性を含むサービスが開始され、外部からの接続を受け付けるようになった場合にのみ発生します。

プロパティ

文書番号: 813878 - 最終更新日: 2007年3月14日 - リビジョン: 5.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
キーワード:?
kbhowto KB813878
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com